简介
域前置攻击(Domain Fronting)是一种规避出网流量审查的隐蔽通信技术,主要依靠在 HTTPS 通信过程中利用内容分发网络(CDN)或其他大型服务来隐藏流量的最终目的地,因 为在处理 HTTPS 请求时,CDN 会首先将它解密,并根据 HTTP Host 的值做请求转发。
在上图的情况下,客户端实际通信的对象是 forbidden.com ,但在流量监控设备看来,客
户端是在与 allow.com 通信,从而实现(对监控设备)隐蔽通信。
局限性
Domain Fronting 流量的一个显著特点是 SNI 和 Host 不相等。企业的防守方可以部署 HTTPS 流量解密设备,并对比流量中的 SNI 和 Host 是否相等,如果不相等则说明是该流 量是 Domain Fronting 流量。
并且,随着该技术不断在真实网络攻击中被使用,云厂商也逐渐意识到了 Domain Fronting 的危害,目前 Cloudflare、AWS CloudFront、Google Cloud CDN 等厂商也都纷纷禁用了这 种隐蔽通信方法。